+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Меры защиты в государственных информационных системах

Содержание

Государственные информационные системы (ГИСы): практические вопросы защиты информации

Меры защиты в государственных информационных системах

В РФ существует порядка 100 государственных информационных систем, они подразделяются на федеральные и региональные.

Организация, работающая с какой-либо из этих систем, обязана выполнять требования к защите данных, которые в ней обрабатываются.

В зависимости от классификации, к разным информационным системам предъявляются разные требования, за несоблюдение которых применяются санкции — от штрафа до более серьезных мер.

Работа всех информационных систем в РФ определяется Федеральным законом от 27.07.2006 № 149-ФЗ (ред. от 21.07.2014) «Об информации, информационных технологиях и о защите информации» (27 июля 2006 г.). В статье 14 этого закона дается подробное описание ГИСов.

К операторам  государственных ИС, в которых ведется обработка информации ограниченного доступа (не содержащей сведений, составляющих государственную тайну), предъявляются требования, изложенные  в Приказе ФСТЭК России от 11 февраля 2013 г.

№ 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Напомним, что оператор — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Если организация подключена к государственной информационной системе, то приказ ФСТЭК № 17 обязывает аттестовать систему, а для защиты информации должны применяться только сертифицированные средства защиты информации (имеющие действующие сертификаты ФСТЭК или ФСБ).

Нередки случаи, когда оператор информационной системы ошибочно относит ее к ГИСам, в то время как она таковой не является. В итоге к системе применяются избыточные меры по защите.

Например, если по ошибке оператор информационной системы персональных данных классифицировал ее как государственную, ему придется выполнить более жесткие требования к безопасности обрабатываемой информации, чем того требует закон.

Тем временем требования к защите информационных систем персональных данных, которые регулирует приказ ФСТЭК № 21, менее жесткие и не обязывают аттестовать систему.

На практике не всегда понятно, является ли система, к которой необходимо подключиться, государственной, и, следовательно, какие меры по построению защиты информации необходимо предпринять.  Тем не менее план проверок контролирующих органов растет,  планомерно увеличиваются штрафы.

Как отличить ГИС от неГИС

Государственная информационная система создается, когда необходимо обеспечить:

  • реализацию полномочий госорганов;
  • информационный обмен между госорганами;
  • достижение иных установленных федеральными законами целей.

Понять, что информационная система относится к государственной, можно, используя следующий алгоритм:

  1. Узнать, есть ли законодательный акт, предписывающий создание информационной системы.
  2. Проверить наличие системы в Реестре федеральных государственных информационных систем. Подобные реестры существуют на уровне субъектов Федерации.
  3. Обратить внимание на назначение системы. Косвенным признаком отнесения системы к ГИС будет описание полномочий, которые она реализует. Например, каждая администрация Республики Башкортостан имеет свой устав, который в том числе описывает полномочия органов местного самоуправления.  ИС «Учет граждан, нуждающихся в жилых помещениях на территории  Республики Башкортостан» создана для реализации таких полномочий администраций, как «принятие и организация выполнения планов и программ комплексного социально-экономического развития муниципального района», и является ГИС.

Если система подразумевает обмен информацией между госорганами, она также с высокой долей вероятности будет государственной (например, система межведомственного электронного документооборота).

Это ГИС. Что делать?

Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

1. Провести классификацию ИС и определить угрозы безопасности

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

Угрозы безопасности информации определяются по результатам

  • оценки возможностей нарушителей;
  • анализа возможных уязвимостей информационной системы;
  • анализа (или моделирования) возможных способов реализации угроз безопасности информации;
  • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

2. Сформировать требования к системе обработки информации

Требования к системе должны содержать:

  • цель и задачи обеспечения защиты информации в информационной системе;
  • класс защищенности информационной системы;
  • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • перечень объектов защиты информационной системы;
  • требования к мерам и средствам защиты информации, применяемым в информационной системе.

3. Разработать систему защиты информации информационной системы

Для этого необходимо провести:

  • проектирование системы защиты информации информационной системы;
  • разработку эксплуатационной документации на систему защиты информации информационной системы;
  • макетирование и тестирование системы защиты информации информационной системы.

4. Провести внедрение системы защиты информации информационной системы, а именно:

  • установку и настройку средств защиты информации в информационной системе;
  • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);
  • внедрение организационных мер защиты информации;
  • предварительные испытания системы защиты информации информационной системы;
  • опытную эксплуатацию системы защиты информации информационной системы;
  • проверку построенной системы защиты информации на уязвимость;
  • приемочные испытания системы защиты информации информационной системы.

5. Аттестовать ИСПДн:

  • провести аттестационные испытания;
  • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому  операторы ГИС зачастую пренебрегают внедрением средств защиты.

Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ.

При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Олег Нечеухин, эксперт по защите информационных систем, «Контур-Безопасность»

Источник: https://kontur.ru/articles/1609

Техническая защита информации по требованиям ФСТЭК, меры по информационной безопасности ФСТЭК

Меры защиты в государственных информационных системах

ГК «Интегрус» помогает реализовать требования защиты информации ФСТЭК с учетом последних реальных моделей угроз.

Сегодня информация является ценнейшим товаром, а множество массивов данных охраняются на законодательном уровне.

На рынке информационной безопасности представлено большое количество программных и аппаратно-программных средств защиты данных (СЗИ) – отечественного и зарубежного производства.

Вопросы в области технической защиты информации в России регулирует Федеральная служба по техническому и экспортному контролю (ФСТЭК). Служба определяет классы защиты информации, разрабатывает рекомендации и требования по защите данных от несанкционированного доступа, проводит сертификацию средств по обеспечению безопасности сведений в информационных системах.  

Ведется государственный реестр сертифицированных средств защиты информации ФСТЭК России за № РОСС RU.0001.01БИ00.

Также существует добровольная сертификация средств технической защиты информации, например, Certified by AM Test Lab, сертификатами которых отмечены такие продукты как Kaspersky Industrial CyberSecurity for Networks, Solar Dozor UBA, Indeed PAM, DLP-система СёрчИнформ КИБ и многие другие.

Требования ФСТЭК по защите информации

Документация государственного регулирования устанавливает минимальные требования защиты от несанкционированного доступа к данным. Для противодействия киберугрозам ФСТЭК регулярно обновляет базу уязвимостей, вносит новые рекомендации в аттестацию, сертификацию оборудования, программного обеспечения.

Выполнение требований регулятора по технической защите информации обязательно при:

  • оказании услуг информационной безопасности (ТЗКИ, СКЗИ);
  • проведении работ по обеспечению государственной и банковской тайн;
  • выполнении обязанностей оператора персональных данных (ПНд);
  • передаче информации посредством сети Интернет.

Требования ФСТЭК по технической защите информации распространяются на:

  • программное обеспечения и оборудование;
  • внешние носители;
  • средства связи и шифровки/дешифровки данных;
  • операционные системы;
  • прочие технические средства хранения, обработки, передачи сведений;
  • персональные данные;
  • специалистов по обеспечению информационной безопасности.

Так, в состав мер по защите персональных данных согласно требованиям ФСТЭК входят:

  • использование системы идентификации и аутентификации (авторизации) субъектов, имеющих доступ к ПНд, и объектов ПНд;
  • возможность ограничения и управления правами доступа к персональной информации;
  • физическая и программная защита носителей информации;
  • регистрация событий безопасности и ведение их журнала;
  • применение средств антивирусной защиты;
  • регулярный контроль защищенности ПНд;
  • обнаружение и предотвращение вторжений, несанкционированного доступа;
  • обеспечение доступности хранимых сведений, их и информационной системы, базы данных доступности;
  • соблюдение требований по защите среды виртуализации, технических средств, информационной системы (ИС), ее средств, каналов и линий связи и передачи данных.

Также требованиями ФСТЭК России по защите персональных данных предусмотрено наличие возможности управления конфигурацией ИС, своевременного выявления инцидентов, способных привести к сбоям в работе ИС, возникновению угроз безопасности ПНд.

Требования ФСТЭК к специалистам по защите информации включают в себя понимание:

  • основных законодательных и нормативных актов в области информационной безопасности и защиты персональных данных;
  • в области сертификации средств защиты информации;
  • о государственной системе противодействия иностранным техническим разведкам.

К профессиональным знаниям специалистов относится:

  • подготовка в части работы с каналами и линиями связи (предотвращение утечки информации);
  • ориентация в сфере комплексных СЗИ;
  • понимание основ методологии построения СЗИ;
  • умение работать со средствами контроля защищенности баз данных (БД) и т.д.

С полным перечнем требований к профессиональной подготовке специалистов в сфере защиты информации можно ознакомиться здесь.

Требования ФСТЭК по защите конфиденциальной информации направлены на исключение неправомерного доступа, копирования, передачи или распространения сведений. Для обеспечения требований по безопасности конфиденциальной информации проводится оценка возможных уязвимостей ИС для внешних и внутренних нарушителей, возможных средств реализации этих уязвимостей.

Меры по защите информации ФСТЭК

Меры защиты информации в информационных системах согласно требованиям ФСТЭК должны обеспечивать необходимый уровень безопасности при взаимодействии защищаемых ИС с другими ИС, при обработке и хранении информации. При этом предлагаемые на этапе проектирования меры должны быть реализуемы в конкретной ИС.

Методы и средства технической защиты информации подбираются с учетом структуры СЗИ, состава и мест размещения ее элементов. Если защищаемая ИС проектируется в составе центра обработки данных (ЦОД) рекомендуется использовать уже имеющиеся в ЦОД средства, меры защиты данных.

Выстраивание защиты в государственных информационных системах (ГИС) предполагает ряд нюансов:

  1. К работе допускаются только компании, имеющие лицензию на деятельность по технической защите конфиденциальной информации;
  2. Требования по охране данных и информации базируются на ряде ГОСТов.
  3. Структурирование классов защиты информации для государственных учреждений – жесткое (всего три класса из семи возможных, используемых в работе частных операторов персональных данных).
  4. Модели угроз основываются на документах и баз ФСТЭК.

Организационные мероприятия предотвращают неправомерные:

  • доступ, хищение и распространение закрытых данных;
  • уничтожение/изменение целостности данных;
  • препятствие получению информации, нарушающее права пользователей.
  • Важное значение имеет разработка пакета организационных и распорядительных документов для:
  • регламентации процесса безопасности хранения данных;
  • порядка выявления инцидентов безопасности;
  • регламентации управления конфигурированием информационных систем по защите данных;
  • установления методов мониторинга информсистем.

Существует регламентация разработки систем и введения их в эксплуатацию, разграничения уровней доступности, проведения проверок и анализ реакций, ответственных за организацию защиты специалистов. Лишь после проведения совокупности мероприятий информационная система аттестуется, вводясь в эксплуатацию.

Технические меры защиты обязывают госструктуры использовать сертифицированные средства, соответствующие классу защиты с функциями:

  • идентификации, аутентификации;
  • управления доступом к данным с возможностью контроля;
  • ограничений по использованию программ;
  • защиты всех информационных носителей;
  • ведение регистрационного учета инцидентов в сфере безопасности;
  • отслеживания вторжений извне;
  • обеспечения целостности находящейся на хранении и обрабатываемой информации;
  • защиты в облачной среде.

Для частных компаний это допустимо с более урезанным функционалом, используемым при обработке массива персональных данных.

Рекомендации ФСТЭК по защите информации

Методические рекомендации ФСТЭК по защите данных предусматривают использование:

  • межсетевых экранов, фильтрующих информацию по установленным критериям;
  • средств, направленных на обнаружение, нейтрализацию и анализ вторжений;
  • антивирусных программ, выявляющих, блокирующих и нейтрализующих несанкционированные действия;
  • доверенной загрузки;
  • контроля за съемными носителями.

ФСТЭК рекомендует использовать такие методы по защите информации как контроль доступа к носителям данных и ИС (физический, аппаратный, программный и т.д.), шифрование передаваемых сведений.

Методические документы и приказы ФСТЭК по защите информации

Существует огромный перечень подзаконных актов и документов, определяющих порядок организации информационной защиты и позволяющих эффективно применять разработанную систему информационной безопасности.

Так, положения о защите технической информации разрабатываются организациями самостоятельно. Отдельные положения выносятся местными органами власти.

ФСТЭК выпускает приказы, уточняющие требования в сфере защиты информации, например, Приказ ФСТЭК России от 23 марта 2021 г. N 49, от 15 февраля 2021 г. N 27 и т.д.

– полный перечень документов ФСТЭК по технической защите информации можно уточнить здесь. Детальнее:

Техническая защита информации затрагивает вопросы сбора, обработки, передачи, хранения, распространения информации с соответствующим классу защищенности обеспечением ее безопасности на предприятиях. Система документов по технической защите информации строится на основополагающих элементах:

  • федеральное законодательство;
  • распоряжения и указы Президента РФ;
  • постановления правительства РФ;
  • документация ФСБ, ФСТЭК, Роскомнадзора;
  • общероссийские стандарты;
  • документы руководящие, нормативно-методические.

Документы ФСТЭК по технической защите информации ложатся в основу проектирования и исполнения информсистем, защищенных от проникновения на любых уровнях. Вся документация размещается по мере обновления на официальном сайте и является обязательной к исполнению.

В нормативных руководящих документах ФСТЭК по защите информации содержатся принципы разноуровневой защиты по шкале важности сведений, степени конфиденциальности, предписаний по оценке защищенности от несанкционированных действий злоумышленников, регламенты работ для сотрудников сферы защиты данных.

Сертифицированные средства защиты ФСТЭК

Функции ФСТЭК в области сертификации средств защиты информации заключаются в:

  • создании системы сертификации средств защиты информации в соответствии с требованиям по обеспечению информационной безопасности;
  • формировании правил проведения сертификации средств защиты данных;
  • аккредитации органов по сертификации и испытательных лабораторий и разработке правил аккредитации;
  • выборе способов подтверждения соответствия СЗИ требования нормативных документов;
  • выдаче сертификатов и лицензий на использование знаков соответствия;
  • ведении государственного реестра участников сертификации и реестра сертифицированных средств защиты информации;
  • осуществлении государственного надзора над соблюдением участниками правил сертификации, инспекционного контроля – над сертифицированными средствами защиты;
  • рассмотрении апелляций по вопросам сертификации;
  • утверждении нормативных документов с требованиями к средствам и системам защиты информации, методических документов по проведению испытаний.

Также ФСТЭК исполняет функции центрального органа системы сертификации средств защиты информации (либо может делегировать их другой организации по необходимости). ФСТЭК может приостанавливать или отменять действие сертификатов.

Система сертификации средств защиты информации ФСТЭК включает в себя органы по сертификации (работающие с определенными видом продукции), испытательные лаборатории. В структуру системы сертификации ФСТЭК также входят заявители (предприятия, организации, компании) и центральный орган, в роли которой выступает сама ФСТЭК.

Классы средств защиты информации ФСТЭК

Регулятор выделил семь классов защищенности, где первый класс соответствует наивысшей степени защиты, а седьмой (для госструктур – третий) является низшей. Комплекс требований по защите средств вычислительной техники и автоматизированных систем формируют градацию классов.

Сертификаты соответствия ФСТЭК России на средства защиты информации подтверждают, что организация соответствует действующим нормативно-правовым актам РФ и имеет высокий уровень защищенности от кибер-угроз.

Выбор оптимального защитного средства зависит напрямую от класса системы.

В ситуациях значительного превышения стоимости программного обеспечения нужного класса допустимо, согласовав с территориальным органом ФСТЭК, устанавливать иные средства защиты.

Госреестр средств защиты информации ФСТЭК России

Государственный реестр сертифицированных средств защиты информации ФСТЭК постоянно обновляется, находясь в открытом доступе. В нем содержится информация об аккредитациях, сертификатах (в т.ч. двойного назначения), лицензиях, разрешениях. Программы и средства информационной защиты в обязательном порядке проходят обязательную регистрацию, с занесением в реестр и выдачей сертификата.

Лицензирование деятельности по технической защите информации ФСТЭК

Лицензия ФСТЭК на техническую защиту конфиденциальной информации включает средства информационной защиты, их установку и эксплуатацию. Выдача предприятию лицензии для работы с конфиденциальными сведениями и по оказанию телематических услуг означает корректную работу системы безопасности данных на основе рекомендаций, требований, положений и приказов ФСТЭК.

Отказ от получения допуска чреват жесткими проверками с возможной приостановкой работы, отзывом разрешительных документов и административным наказанием.

Виды лицензий, связанных с деятельностью:

  • по предотвращению утечек по различным каналам, бесконтрольного проникновения, видоизменения информации как в системах, так и помещениях, где они размещаются;
  • на услуги мониторинга информбезопасности, аттестации на соответствие требованиям защиты информации, проектирования систем информатизации в защищаемых помещениях, монтажа, отладки, проведению испытаний и ремонтных работ;
  • на разработку и производство средств безопасности;
  • на выстраивание мероприятий по сохранности гостайны.

При оформлении лицензии используются только некриптографические методы.

Срок оформления лицензии составляет 30 дней, хотя зачастую готовое разрешение удается получить только спустя два месяца. Действие лицензии бессрочное.

Источник: https://integrus.ru/blog/it-decisions/zashhita-informatsii-i-informatsionnaya-bezopasnost-fstek.html

Защита информации в государственных информационных системах (ГИС)

Меры защиты в государственных информационных системах

МАСКОМ Восток оказывает услуги по обеспечению защитыинформации, содержащейся в государственных информационных системах (ГИС).

Государственные информационные системы (ГИС) — это федеральныеинформационные системы и региональные информационные системы, созданные наосновании соответствующих федеральных законов, законов субъектов РоссийскойФедерации, на основании правовых актов государственных органов.

Муниципальные информационные системы(МИС) —информационные системы, созданные на основании решений органовместного самоуправления.

Информация в ГИС и МИС должна быть защищена отнесанкционированного доступа, а также от специальных воздействий в целях еедобывания, уничтожения, искажения или блокирования

Нормативная база

Необходимость защиты информации, содержащейся в ГИС, устанавливает Федеральный Закон от 27.07.2006 г.

№ 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия  правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16).

Требования о защите Информации в соответствии с 149-ФЗутверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и обязательны длявыполнения с 1 сентября 2013 г., в том числе и при обработке информации вмуниципальных информационных системах (МИС).

Информация должна быть защищена от несанкционированногодоступа, а также от специальных воздействий в целях ее добывания, уничтожения,искажения или блокирования доступа к ней.

Мероприятия по защите информации в ГИС и МИС

Мероприятия, проводимые для обеспечения защиты информации,содержащейся в информационной системе:

  • формирование требований к защите информации,содержащейся в информационной системе;
  • разработка системы защиты информацииинформационной системы;
  • внедрение системы защиты информацииинформационной системы;
  • аттестация информационной системы по требованиямзащиты информации (далее — аттестация информационной системы) и ввод ее вдействие;
  • обеспечение защиты информации в ходеэксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе изэксплуатации аттестованной информационной системы или после принятия решения обокончании обработки информации.

Формированиетребований к защите информации включает:

  • принятие решения о необходимости защиты информации;
  • классификацию ГИС по требованиям защиты информации;
  • определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
  • определение требований к СЗИ.

Этапы создания системы защиты информации в ГИС и МИС

Создание системызащиты информации в ГИС и МИС можно разделить на последовательные этапы:

  • аудит информационной системы;
  • классификация информационной системы;
  • моделирование угроз безопасности;
  • проектирование и разработка системы защитыинформации;
  • реализация проекта системы защиты информации;
  • мероприятие по контролю соответствия системызащиты информации требованиям законодательства в сфере защиты информации(персональных данных).

Первостепенной задачей при создании системы защитыинформации и контроле ее функционирования является определение классаинформационной системы, так как выбранный класс устанавливает набор требованийк системе защиты информации.

Классификация необходима для более детальной,дифференцированной разработки требований по защите информации с учетомспецифических особенностей этих систем. Требование к классу защищенностиизначально включается в техническое задание на создание информационной системыили системы защиты информации.

Для определения класса защищенности ГИС необходимы двапараметра – уровень значимости информации и масштаб ГИС.

Классификация ГИС по четырем установленным классам защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Уровень

значимости

информации

Масштаб информационной системы

ФедеральныйРегиональныйОбъектовый
УЗ 1К1К1К1
УЗ 2К1К2К2
УЗ 3К2К3К3
УЗ 4К3К3К4

Уровень значимости информации определяется степенью возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

Актуальные угрозы безопасности информации определяютсяс учетом структурно-функциональных характеристик ГИС по результатам оценкивозможностей нарушителей, анализа возможных уязвимостей, способов реализацииугроз и последствий.

Разработка СЗИ осуществляется в соответствии с ГОСТ и включает:

  • проектирование СЗИ;
  • разработку эксплуатационной документации;
  • макетирование и тестирование СЗИ (принеобходимости).

В соответствии с Требованиями обеспечивается, чтобы СЗИ непрепятствовала достижению целей создания ГИС и ее функционированию.

Целью создания СЗИ является выполнение обязанностейЗаказчика по применению правовых, организационных и технических мер обеспечениябезопасности информации в соответствии с ФЗ-149 и принятыми в соответствии сним нормативными правовыми актами.

Внедрение СЗИ осуществляется в соответствии с разработанной документацией и включает:

  • установку и настройку средств защиты информации;
  • разработку организационно-распорядительныхдокументов, определяющих правила и процедуры обеспечения защиты в ходеэксплуатации ГИС;
  • внедрение организационных мер защиты информации;
  • предварительные испытания СЗИ;
  • опытную эксплуатацию СЗИ;
  • анализ уязвимостей ГИС и принятие мер по ихустранению;
  • приемочные испытания СЗИ.

Анализ уязвимостей проводится в целях оценкивозможности преодоления нарушителем СЗИ и предотвращения реализации угрозбезопасности информации.

В случае выявления уязвимостей, приводящих к возникновениюдополнительных угроз безопасности информации, проводится уточнение модели угрози при необходимости принимаются дополнительные меры защиты информации,направленные на устранение выявленных уязвимостей или исключающие возможностьиспользования нарушителем выявленных уязвимостей.

Аттестация ГИС

Для государственных информационных систем мероприятием поконтролю соответствия системы защиты информации требованиям являетсяаттестация, регламентированная «Положением по аттестации объектовинформатизации», рядом ГОСТов и руководящими документами ФСТЭК.

Аттестация ГИС включает проведение комплексаорганизационных и технических мероприятий (аттестационных испытаний), врезультате которых подтверждается соответствие СЗИ установленным Требованиямбезопасности.

По результатам аттестационных испытаний оформляютсяпротоколы, заключение о соответствии и аттестат соответствия в случаеположительных результатов.

Допускается аттестация на основе результатов аттестационныхиспытаний выделенного набора сегментов ГИС, реализующих полную технологиюобработки информации.

Ввод в действие ГИС осуществляется при наличии аттестатасоответствия.

Мы успешно реализуем весь комплекс работ по защитеинформации в ГИС в соответствии с требованиями нормативных правовых актов:

  • обследование и классификация ГИС потребованиям защиты информации;
  • разработка частной модели актуальных угрознарушения безопасности информации в ГИС;
  • выбор и обоснование организационно-техническихмер защиты, необходимых для нейтрализации актуальных угроз нарушениябезопасности информации в ГИС;
  • разработка технического задания и проектированиесистем защиты информации;
  • разработка организационно-распорядительной иисполнительной документации, регламентирующей порядок защиты информации иэксплуатации СЗИ;
  • поставка и внедрение сертифицированныхтехнических средств защиты информации;
  • обучение персонала в авторизованных учебныхцентрах;
  • оценка соответствия выполнения требований кзащите информации в форме аттестации ГИС;
  • техническое сопровождение и сервисноеобслуживание СЗИ.

При выборе и реализации необходимых мер защиты информации мы руководствуемся требованиями использования наиболее эффективных решений, в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Выполненный проект по Аттестации ГИС Камчатского края «Сетевой город»

Источник: https://www.mascom-vostok.ru/service/zashhita-informaczii-v-gosudarstvennyh-informaczionnyh-sistemah/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.